一陣子沒見到災情,
最近又有點死灰復燃的感覺,所以想丟一點撇步供參考。
1. Email 附檔盡量不要開
除了可執行檔,尤其 js、vbs、shs、bat 這類指令碼變種、加密非常多樣化,
防毒軟體常常偵測不到。不要以為 js 只是純文字就認為安全,
js 這種東西點兩下打開的不是記事本不是瀏覽器,是從背景跑 wscript 自動
從網站下載惡意程式執行,看都看不到,防不慎防。
* 再補一個,Office 系列檔案有巨集的也很危險,不要傻傻的就去點「啟用巨集」。
2. 你需要漏洞防護
「我明明什麼都沒點啊,逛逛網站怎麼還是中標!」
因為你的 Windows 有洞、IE 有洞、Flash 有洞、Java 有洞…通通都是洞,
它就是有辦法做到讓你一邊上網一邊自動下載執行惡意程式。
微軟免費提供的 EMET 能替一些常用的 Windows 程式加點額外保護。
即使如此也不要忘記隨時保持軟體最新版本或者乾脆關掉千瘡百孔的 Flash。
有些防毒軟體也提供這種功能,那就不用另備了不然可能會打架自爆。
Malwarebytes 也提供免費的 Anti-Exploit,選一個裝就好。
運氣好時它們能阻止漏洞被利用,所以惡意程式不會被執行,
但是它們不能「阻止勒索軟體」,你要是手賤硬要執行它們是不會擋的。
比如說單純一個木馬連結,出現問你要下載還是執行這種不會擋。
不怕麻煩的再找個沙盒之類的會更安全 (…但就是麻煩)
3. 我用 Mac OS 無敵對不對?
壞消息是: Mac OS 的勒索軟體已經出爐了。
最近有個叫 KeRanger 的勒索軟體混入 Mac OS BT 客戶端 Transmission。
http://gigazine.net/news/20160307-first-os-x-ransomware/
4. 我有裝防火牆耶,為什麼還是中標
防火牆有在設規則嗎?還是全自動好方便?或是跳什麼通通允許?
我是覺得懶人型防火牆根本沒有用 (不過有些有配合檔案信譽的就好多了)
像 Windows 防火牆預設只阻止連入連線,程式愛怎麼鑽他是完全不會擋的。
再舉一個我購入的 G DATA 防火牆預設的 Autopilot 像屎一樣,
美意是自動判斷,但結果就是什麼都自動允許,
我連拿木馬、拿廣告來測通通都是自動允許,到底請你來做什麼?
自建規則亂設也不行,我之前為了玩遊戲就設成允許 Domain Service,
結果新增的規則是 svchost.exe 通通允許。偏偏勒索軟體最愛 svchost.exe,
注入後隨便你下載、開後門、跑加密等壞事,它就是這麼神奇。
有些看來像是私人作品的勒索軟體根本連連線都不連線,
也不拐彎抹角行為一堆搞注入搞開機啟動,而是直接就狂讀狂寫,
跑加密直接霸氣留 Email 要你直接來找,防火牆不見得有用。
5. 我有防毒,小紅傘喔,是不是很安全呢
小紅傘的行為防護是0是0是0。
很重要所以要說三遍。你就算用付費版也還是0,掃不到就是中獎。
論執行後的防禦我覺得小紅傘搞不好還比 Windows Defender 差。
當然不是說有什麼主動防禦、行為防護、HIPS…blahblah 就是我無敵我高枕無憂,
但是勒索軟體的行為總有固定模式 (雖然一直在變),
防毒軟體廠商也一直在更新規則希望能擋下來,多一層保護總是比較好。
像卡巴斯基好不只是好在他的掃描和他的雲端檔案信譽,
最重要的還有他的系統監控和應用程式控制,而這也是一些免費軟體欠缺的。
工商連結
漏洞防護:
Microsoft EMET
https://support.microsoft.com/zh-tw/kb/2458544
Malwarebytes Anti-Exploit
https://www.malwarebytes.org/antiexploit/
注意 不要同時裝多套,簡單的 EMET 設定附在文章後面了
用 EMET 的一定要設一下,不然預設的保護項目不多
自稱可以防勒索的軟體:
Hitman.Pro Alert (這款是公認的強大,也包括漏洞防護了,但是要付費)
http://www.surfright.nl/en/alert
Malwarebytes Anti-Ransomware (BETA測試版,小心使用)
http://tinyurl.com/jh59xap
BitDefender AntiCryptoLocker
http://bit.ly/Cryptolocker
其實都是老調重彈。
另外我自己沒有中標經驗,也沒有精實的電腦知識,
有什麼不對的請盡量批評補充。